Microsoft Security Copilot och chatta i Microsoft Defender

Komma igång

Om du vill öppna Defender-chatten var du än befinner dig i Defender-portalen väljer du knappen Copilot i det övre navigeringsfältet. Chattpanelen öppnas till höger på skärmen och förblir i ett sammanhang medan du fortsätter att arbeta. En välkomstskärm visas med en hälsning och ett indatafält som är redo för din första fråga.

Om du vill stänga panelen väljer du Stäng i rubriken eller väljer knappen Copilot igen. Konversationen bevaras och du kan öppna panelen igen och fortsätta där du slutade.

Medvetenhet om sidkontext

Defender Chat svarar baserat på den sida som du för närvarande visar i Defender-portalen och kan svara på frågor baserat på den kontexten.

Om du ställer en fråga som "Vilka användare är inblandade i den här incidenten?", förstår chatten vilken incident, avisering, enhet eller entitet som du refererar till baserat på din aktuella sida utan att behöva ange ID:n eller namn.

Funktioner för chattkonversation

Interaktiva konversationer

Chatten kommer ihåg hela kontexten för konversationen, så att du kan ställa uppföljningsfrågor på ett naturligt sätt. Du kan till exempel börja med Visa incidenter med hög allvarlighetsgrad från den senaste veckan och sedan följa upp med Berätta mer om den första och chatten förstår vad du menar.

Stegvisa planer

För komplexa eller flerstegsbegäranden kan chatten först presentera en föreslagen plan som beskriver de steg som den avser att vidta. Du kan godkänna eller avvisa planen innan några åtgärder vidtas. På så sätt får du kontroll, särskilt för undersökningar som kräver flera datasökningar.

Exempel: Om du frågar Undersök incident 12345 och sammanfattar viktiga resultat kan chatten föreslå följande plan:

1. Hämta incidentinformation
2. Hämta associerade aviseringar
3. Samla in bevis och påverkade entiteter
4. Sammanfatta resultat

När du har godkänt planen kör chatten varje steg och visar förloppet i realtid.

Klargöra frågor

Om din begäran är tvetydig kan chatten ställa en klargörande fråga och erbjuda snabbvalsalternativ (upp till fyra förslag) som hjälper dig att komma till rätt svar snabbare. Välj ett alternativ eller skriv ditt eget svar.

Konversationshistorik

Dina konversationer sparas automatiskt. Använd panelen Konversationer till vänster i chatten för att:

• Återuppta en tidigare konversation
• Starta en ny session
• Ta bort en konversation
• Rensa alla konversationer

Arbeta med svar

Svaren formateras med strukturerade tabeller, punktlistor och avsnittsrubriker för läsbarhet. Du kan:

• Kopiera ett svar: Välj kopieringsikonen i ett meddelande för att kopiera det till Urklipp
• Exportera tabeller: Välj Exportera i valfri tabell för att exportera den till Excel för ytterligare analys
• Stoppa generering: Välj Stoppa om du vill avbryta ett svar som tar för lång tid eller gå i fel riktning
• Försök igen: Om något går fel väljer du Försök igen för att försöka svara igen

Nyckelfunktioner

• Inbäddad chattfunktion som möjliggör konversation och styrning
• Sammanhangsmedvetna svar på incidenter, aviseringar, identiteter, enheter, IP-adresser och bevis
• Uppföljningsfrågor för förtydligande

Undersöka och svara på incidenter som en expert

Dessa AI-verktyg gör det möjligt för säkerhetsteam att hantera attackundersökningar i tid med lätthet och precision. De kan förstå attacker omedelbart, snabbt analysera misstänkta filer och skript och snabbt utvärdera och tillämpa lämplig åtgärd för att stoppa och begränsa attacker.

Sammanfatta incidenter snabbt

Det kan vara utmanande att undersöka incidenter med flera varningar. För att omedelbart förstå en incident kan du be Copilot sammanfatta en incident åt dig. Copilot skapar en översikt över attacken. Översikten innehåller viktig information som hjälper dig att förstå vad som hände i attacken, vilka tillgångar som är inblandade och tidslinjen för attacken. Copilot skapar automatiskt en sammanfattning när du öppnar en incidentsida. Det hjälper dig också att förstå de tillgångar som ingår och hur du agerar genom att föreslå frågor om relaterade identiteter, enheter, IP-adresser och så vidare.

Vidta åtgärder för incidenter via guidade svar

Att lösa incidenter kräver att analytiker förstår en attack för att veta vilka lösningar som är lämpliga. Copilot rekommenderar lösningar via guidade svar som är specifika för varje incident.

Kör skriptanalys enkelt

De flesta angripare förlitar sig på avancerad skadlig kod när de startar attacker för att undvika identifiering och analys. Den här skadliga koden är vanligtvis dold och kan vara i form av skript eller kommandorader i PowerShell. Copilot kan snabbt analysera skript, vilket minskar tiden för undersökning.

Skapa enhetssammanfattningar

Det kan vara komplicerat att undersöka enheter som är inblandade i incidenter. För att snabbt utvärdera en enhet kan Copilot sammanfatta en enhets information, inklusive enhetens säkerhetsstatus, ovanliga beteenden, en lista över sårbara program och relevant Microsoft Intune-information.

Analysera filer snabbt

Copilot hjälper säkerhetsteam att snabbt utvärdera och förstå misstänkta filer med filanalys. Copilot tillhandahåller en filsammanfattning, inklusive identifieringsinformation, relaterade filcertifikat, en lista över API-anrop och strängar som finns i filen.

Undersöka identiteter omedelbart

Utvärdera snabbt en användares risk genom att generera en identitetssammanfattning med Copilot. Identifiera när en identitet är i riskzonen eller misstänkt med sammanhangsberoende information om en användares roll- och rolländringar, inloggningsbeteenden, enheter som är inloggade på och relevant kontaktinformation.

Skriva incidentrapporter effektivt

Säkerhetsteam skriver vanligtvis rapporter för att registrera viktig information. Dessa rapporter omfattar svarsåtgärder som vidtagits, deras resultat, de berörda teammedlemmarna och annan information för att underlätta framtida säkerhetsbeslut. Det kan ta lång tid att dokumentera incidenter eftersom en effektiv incidentrapport måste innehålla incidentsammanfattningen, åtgärder som vidtagits och vem som vidtog vilka åtgärder och när. Copilot genererar en incidentrapport genom att konsolidera incidentsammanfattningen, svarsåtgärder och teaminblandning.

Jaga som ett proffs

Copilot i Defender hjälper säkerhetsteam att proaktivt söka efter hot i nätverket genom att snabbt skapa lämpliga KQL-frågor.

Säkerhetsteam som använder avancerad jakt kan nu använda en fråga assistent som konverterar frågor på naturligt språk till KQL-frågor som är redo att köras. Frågan assistent sparar tid genom att generera en KQL-fråga som kan köras omedelbart eller justeras efter analytikerns behov. Läs mer om Assistent.

Skydda din organisation med relevant hotinformation

Ge din säkerhetsorganisation möjlighet att fatta välgrundade beslut med den senaste hotinformationen. Copilot konsoliderar och sammanfattar hotinformation för att hjälpa säkerhetsteam att prioritera och reagera effektivt på hot.

Övervaka hotinformation

Be Copilot sammanfatta relevanta hot som påverkar din miljö, att prioritera att lösa hot baserat på dina exponeringsnivåer eller att hitta hot aktörer som kan riktas mot din bransch. Läs mer om Security Copilot i hotinformation.

Åtkomst till Copilot i Defender

För att säkerställa att du har åtkomst till Copilot i Defender kan du läsa informationen om Security Copilot köp och licensiering. När du har åtkomst till Security Copilot blir de viktigaste funktionerna tillgängliga i Microsoft Defender-portalen.

Exempelfrågor i Copilot

I Microsoft Defender portalen hittar du exempelfrågor som hjälper dig att navigera och använda vissa Copilot-funktioner. Uppmaningarna är utformade för att hjälpa dig att förstå dessa funktioner och hur du använder dem effektivt. Här är några exempel på frågor som du kan se i portalen:

Avancerade jaktfrågor:

Hotinformationsprompter:

Du kan utöka undersökningen i Security Copilot fristående portalen med hjälp av frågor om naturligt språk. Följande är exempelfrågor som du kan skriva i promptfältet för att sammanfatta en incident med rekommendationer:

• Skriv Sammanfatta incident {incidentnummer} och avsluta med en uppsättning rekommendationer för att generera incidentsammanfattningen och rekommendationerna.
• Skriv Vad kan du berätta om indikatorernas rykte i skriptet? Är de skadliga? I så fall, varför? för att analysera skriptet och generera information om skriptet.

Genom att fråga i Copilot kan du navigera och använda funktionerna på ett effektivt sätt. Du kan också använda promptfältet för att generera KQL-frågor, sammanfatta incidenter och analysera filer. Se tips för effektiva frågor. Du kan också använda fördefinierade promptbooks för att komma igång med Copilot. Mer information finns i Använda fördefinierade promptbooks i Copilot.